目录服务

扩展 ACL:样例 2
Acme 公司使用一个 Domino 网络域。该 Domino 目录内的目录名称层次结构的组成部分为:组织为 O=Acme,其下的两个组织单元为 OU=West 和 OU=East。Acme 的 Domino 目录包括三个管理员群组: 安全性目标

为建立安全性,Acme 有下列目标:

1. 允许 Admins/Acme 群组的成员:

2. 允许 Admins/West/Acme 群组的成员: 3. 允许 Admins/East/Acme 群组的成员: 4. 仅允许已验证的非任何管理群组中的用户浏览和读取整个数据库中的“个人”、“群组”和“资源”文档,对其他任何文档无任何权限;并禁止这些用户创建、删除和修改任何文档。

5. 禁止匿名用户访问目录。

Acme 公司如何实现其目标

下表描述 Acme 如何设置 Domino 目录数据库 ACL 和扩展 ACL,以达到其安全性目标。

数据库 ACL
主题访问描述
-Default-读者允许非管理员浏览和读取“个人”、“群组”和“资源”文档。
Admins/Acme 群组
  • 管理者
  • 删除
  • 所有管理角色
允许 Admins/Acme 的成员管理所有文档和整个扩展 ACL -- 不需要扩展 ACL 设置
Admins/West/Acme 群组
  • “编辑者”存取级别
  • 创建、删除
  • 所有管理角色
允许 Admins/West/Acme 的成员创建、修改、删除和管理 West/Acme 文档的扩展 ACL
Admins/East/Acme 群组
  • “编辑者”存取级别
  • 创建、删除
  • 所有管理角色
允许 Admins/East/Acme 的成员创建、修改、删除和管理 East/Acme 文档的扩展 ACL
匿名不能存取者禁止匿名用户访问目录中的任何信息。不需要扩展 ACL 设置

扩展 ACL 中的 /(根)目标
主题访问此容器和所有子容器?描述
-Default-缺省:
  • 拒绝所有
“个人”、“群组”和“资源”:
  • 允许:浏览、读取
  • 拒绝:创建、删除、写入、管理
仅允许非管理员读取“个人”、“群组”和“资源”文档
Admins/West/Acme 群组缺省:
  • 允许:浏览、读取
  • 拒绝:创建、删除、写入、管理
禁止 Admins/West/Acme 群组的成员修改 /(根)和 O=Acme 目标中的文档
Admins/East/Acme 群组缺省:
  • 允许:浏览、读取
  • 拒绝:创建、删除、写入、管理
禁止 Admins/East /Acme 群组的成员修改 /(根)和 O=Acme 目标中的文档

OU= 扩展 ACL 中的 West 目标
主题访问此容器和所有子容器?描述
Admins/West/Acme 群组缺省:
  • 全部允许
允许 Admins/West/Acme 的成员对 OU=West 下的文档有完全权限

OU= 扩展 ACL 中的 East 目标
主题访问此容器和所有子容器?描述
Admins/East/Acme 群组缺省:

全部允许

允许 Admins/East/Acme 的成员对 OU=East 下的文档有完全权限
另请参阅